最近、企業が社内に設けた研究所主催のサイバーセキュリティイベントに参加することが増えてきた。先日は広報系の聴衆向けのものだったのだが、今回はサイバーセキュリティ担当役員に向けた「ど真ん中」企画である。テーマは「サイバー諜報」。
あるセキュリティベンダーの社内研究所が、顧客サービスの一環として開いたオンラインセミナー。研究者が課題設定・背景説明をして、同社が呼んだ識者(有力企業のCISOや業界団体の論客)に聞いていくスタイルである。
研究者によれば、サイバー攻撃のおおよそ1割が諜報目的。政府や関係機関を狙うのが中心だが、企業相手のものも決して少なくない。どんな被害があり得るかと言うと、
・製造の秘伝を盗まれ、競争優位性を失う
・事業戦略を盗まれ、戦略展開を妨害される
・新製品情報を盗まれ、商標登録などで先を越される
・人事情報を盗まれ、内部にスパイを仕立てられる
・設備情報を盗まれ、事業停止に追い込まれる
という例示があった。そこで司会者から「皆さんのところではどんなスパイ対策をされていますか?」との質問が飛んだが、
・特にスパイを意識してはいない。相手が誰であれ、サイバー攻撃を防ぐことに注力
・インフラ企業だから、事業継続が重要。対スパイで特別な何かはしていない
との回答ばかり。業界団体の人も「サイバーセキュリティを議論する会では、最初重要インフラとそれを直接支える大手電機メーカーなどを守るというスタンスで始めた。今でも軸足はそこにあり、安全保障や諜報といった議論には踏み込めていない」と言っていた。
研究者が挙げた企業秘密漏洩の例でも、サイバー攻撃と言うよりは社内の不満分子や退職者、短期の派遣社員などの人的犯行(HUMINT)の方が怖いとの意見があった。身分や経歴を偽ったスパイが社員に採用するケースも論じられたが、社内で秘密に触れる機会のある社員を(カネ・ハニトラ等で)使った方が手っ取り早そうだ。
防衛省御用達の企業の当該部門ならともかく、さすがに一般企業では「対諜報のサイバー戦」対策をそれ専用にはとられていないようだ。これを「平和ボケ日本」と見るか、そこまで気を回す(投資をする)必要はない見切りと考えるかは意見が分かれるだろう。今後の「経済安全保障議論」で、その辺りが見えて来ればいいのですが。
